Coinhive対策で逮捕者を出した警察庁Twitterが炎上

2018年6月18日

まさかと思い警察庁のTwitterを見ると炎上。

さすが出る杭を打つ以外に火を見るとガソリンをぶっかけまくるTwitterの皆様、相手が何であれ臆さない暴れ方はお見事。今回ばかりは私もTwitter民寄りであり、警察庁の判断はおかしい、冤罪だと思う。

最後にミニアンケートを設置しております。

元ネタはこちら。

他人PCで仮想通貨「採掘」=サイト閲覧者に無断で-16人を初摘発・警察当局:時事ドットコム
https://www.jiji.com/jc/article?k=2018061401193

1日で12人くらい増えていないだろうか。確か前日までの報道では3人逮捕+1人書類送検という記事を見たと記憶。

問題点はタイトルの通り、他人のPCを(遠隔操作さながら)無断で操作した、と解釈したのでしょう。同意を取っていないならそうとも思える。

火災現場はこちら。

日付をクリックやタップすると最初から読めるようページが開き、私がこれを書いている時点で200行く勢いでコメントが入っており、その多くが警察の判断を批判するもの。

設置するだけでアウトらしい。

自身が運営するウェブサイトに設置する場合であっても、マイニングツールを設置していることを閲覧者に対して明示せずにマイニングツールを設置した場合、犯罪になる可能性があります。

source:仮想通貨を採掘するツール(マイニングツール)に関する注意喚起

冗談で専用ページ作ろうかと思っていたけれど、私が面倒くさがりで良かった。但し明示せずにとあるため明示すれば良いのか。

腑に落ちない点は前述した逮捕者3人+書類送検1人の後者で、なぜ書類送検(逮捕するほどでもない場合)でとどまったのかが疑わしい。明示していても逮捕はされないが書類送検はされるのだろうか、と憶測。

そこでInternet Watchが突撃。

神奈川県警の広報に問い合わせてみたところ、「担当者と上層部への情報共有と調整に時間が掛かるため、返事は来週になる」

source:コインマイナーをサイトに設置して犯罪になる条件とは? 警察庁と神奈川県警に問い合わせてみた - INTERNET Watch

2018年6月15日の記事なので17日の週に何らかの返答があるはず。追記や続報があれば次回の日曜まとめで上げておきましょうか。

警察庁の判断はどこがおかしいのか?

この人が詳しい。

日付クリックで具体例が書かれた続きがございます。

今回問題とされているCoinhiveはJavaScriptで動作しており、ウィルスのような感染はせず、いつからかブラウザを閉じると動作が止まる。私が昨年試した時はブラウザ閉じたように見えて裏で別窓が開きこっそり動いていた。

現在は止まるわけで、同じJavascriptにより閲覧者のパソコンの負荷が上がる点でアウトというなら広告もJavascriptであり、他人のPCへ負荷をかけ収益を得る点では同じ動作。

ならば当サイトを例にすると、全ページに「広告が表示されアンタのPCに負荷かかるけれど同意する?はい/いいえ」をポップアップやオーバーレイ表示でもして「いいえ」を選んだなら遮断しなければ逮捕されてしまう。

まとめるとこういうこと。

「マイニングは広告とは違いCPUが高負荷になる」と思っているならCoinhiveをローカルでサーバ立てて実際に試してみればOK。負荷は設定可能であり、現在は勝手にフル稼働したり隠れて居座ったりはせずマイニング可能。

なので重いと感じるなら、そのサイト管理者の設定がひどいわけで行かなければ良いだけでしょう。広告まみれで重くなっているサイトと何が違うのか。

そして逮捕されたデザイナーは罰金を断り裁判へ。

弁護士はコインハイブについて、パソコンを壊したり情報を抜き取ったりすることはないとし、「コンピューターウイルスとは異なる」と指摘。

source:「何が違法なのか」=摘発デザイナーが反論会見-不正マイニング:時事ドットコム

この人の個人ブログページがこちら。ノンフィクションとしてコワ面白い。

起こったことまとめ

  • 家宅捜索とネットワーク機器全押収
  • 警察で取り調べ
  • PC全データ削除の上返還
  • 検察で取り調べ
  • 罰金10万円の略式命令

source:仮想通貨マイニング(Coinhive)で家宅捜索を受けた話 - Webを楽しもう「ドークツ」

罰金10万円なぞよりもPC全データ削除がプライスレスひどい。もし無罪になったなら損害賠償モノか。

なお、この人は10万円が惜しいのではなく、前例になってはいけない、無罪として判例を残すべきとして動いたらしく、支援金も断わられております。

まさか警察の知識不足や勘違い?

もしかしてと思った話がこちら。

トレンドマイクロでは、2018年1月24日、「malvertisement(不正広告)」を利用した「Coinhive(コインハイブ)(「JS_COINHIVE.GN」として検出)」を前日の 3倍近く検出

source:不正広告により、仮想通貨発掘ツールが拡散される | トレンドマイクロ セキュリティブログ

これはCoinhiveが悪いのではなく、Coinhiveのスクリプトを悪用してウェブ広告へ仕込みマイニングさせていたため、トレンドマイクロ的にはアウトとしているだけかと。包丁を何に使うかの話と同じ。

ユニセフもアウト(迫真)

赤枠の右下、Coinhiveな件。

coinhiveユニセフ

source:ユニセフが仮想通貨マイニングによって寄付 - GIGAZINE

日本でやると逮捕なのか、了解取っているけれど書類送検か。


以上のように私は思うのだけれども、そう感じる人は多いのか少ないのか、またはわからない割合が高いのかお聞きしてみたい。

coinhiveの警察の対応について

結果のみ見るなら選択せず投票ボタン。※2018.07.04 締めて画像へ差し替え

コメント(42)

ゲストブックとか前の記事で書いていたことと重複になりますが問題がずれていますよ。
警視庁が問題にしているのは「閲覧者に明示せずに」というところでしょう。

>但し明示せずにとあるため明示すれば良いのか。

ヒツジ先輩もこのように書いているということは本質的には理解しているのではないでしょうか。

広告の例えについてもこの点に着目すれば異なると言えます。

・広告は閲覧者に見せるように配置してある
  →閲覧者は次から見ないなどの選択ができる。
・捕まった例の人は閲覧者にまったく許可を取らずに動かしていた
  →閲覧者は気づくことができない
・ユニセフは最初に同意を求めている
  →明示しているので問題なし

これだけのことでしょう。

>Web広告とマイニングの差はあるのか?

Web広告を明示しなかった(閲覧者に見せないように隠した)なら効果がございません。
マイニングは明示しなくても効果があります。
Web広告を隠して大量に配置していたら似たようなものだといえそうですが、その場合はまず「バグってんじゃね?」ってなりますよね。

もちろん、こちらも何度も書いていますが、だからと言って今回の警察の検挙について正しいかといわれると賛同はできません。
しかし「閲覧者に明示せずに」おいてあるcoinhiveが黒か白かと言われれば黒と言います。
なので「閲覧者に明示」されていないcoinhiveが黒という判断は正しいと思いますが、それによる今回の検挙騒ぎは間違っていると思います。
(例の人の場合すでに指摘されて対応(削除)したならそれで充分でしょう)


無理やりPCパーツで例えるなら、明らかに他より安いCUPが売っているとしましょう。

1.Web広告の例え
そのCPUを使っていると使用中に目に見えるように広告が表示される。
Kindleの広告付きなんかは未使用時にはずっと広告が表示されていますがまさにこれ。

2.「閲覧者に明示」されないcoinhiveの例え
そのCPUにはマイニング用チップが同梱されていて、PC起動中にずっと動いている。
もちろんそれのせいで必要以上に電力を消費している。
購入者が気付くには電力消費量を監視するとかチップの中身を解剖しないとわからない。

3.ユニセフ(明示されたcoinhive)の例え
そのCPUにはマイニングチップが同梱されているが、それは商品のパッケージや広告などにわかるように明示されている。


こう書けば2.だけ異質なのがわかるのではないでしょうか。
2.が誰かの調査のおかげで発覚すれば確実に騒ぎになるでしょう。
しかし3.はネタにはなれど問題になるかといわれるとノーですよね。

どこかの記事かは失念しましたが神奈川県警のサイバー課()はの意味もわからない人が仕事をしてると書いてあった記憶があります。

ウイルスとは言い過ぎで,分類するとしたらpup(不審なプログラム)となるべきであり,それを検挙するということは世に溢れている広告も違法という前例を作ることとなり全国で訴訟合戦ですねw

>ウイルスとは言い過ぎで,分類するとしたらpup(不審なプログラム)となるべきであり
ああ、それなら同意します。

>それを検挙するということは世に溢れている広告も違法という前例
広告とは同列にはならんでしょう。
明示されていますから。

>マイニング
何でそれに私のPC使われなあかんのだ、と単純に不愉快ですけどそこはどうでもいいんですねと思いました。マイニングに興味ないから余計にそうだけど、自分のとこだけでやれとしか。
使っていいかと聞かれたら私はノー。友人の小遣い稼ぎなら協力するかもしれんけど赤の他人に何でやらねばならんのかと。その選択はさせてもらえないのは不愉快です。感情の問題ですけどね。でもその感情無視していいとか、そこに抵抗があります。マイニングは広告と比べてそこまで市民権無いんじゃないかしら。

自分の例えに自分で突っ込み。
書き込みすぎと自覚しながら訂正だけはさせてください。

>そのCPUを使っていると使用中に目に見えるように広告が表示される。
>Kindleの広告付きなんかは未使用時にはずっと広告が表示されていますがまさにこれ。

これ、CPUと広告に内容の乖離があるためどちらかといえばcoinhiveに近い例えですね。
広告はサイトコンテンツの1つとして利用者に提示されているとみることができますけど、CPU使って広告出てくるのはそう考えられない。
パッケージなどに明示があれば問題ないケース(kindleはこっち)ですが、明示がないならマルウェアまんまですね。

CPUについてきて、サイトでの広告のようにそのコンテンツの1つと言えそうなものが思い浮かばないのでこの例えは撤回します。

ただ、この間違いから気づいたのは、明示されないマイニングがサイトコンテンツの一つとして考えられるか、という点も広告との違いでしょう、ということですね。

Coinhiveの設置、Web閲覧者の同意を得ていない、ってのが刑法168条の2第2項に引っかかるって話のようだけど、相当微妙な感じだねぇ。

他人の金儲けに勝手に自分のCPUが使われるのは嫌だって感情はわかるけど、Webサイトを広告まみれにするか、Coinhive設置するかの違いに過ぎない気もするし。
自分の感覚だと明示しないのはマナー違反って程度かな。

たとえば、今回の件がマイニングツールではなく、分散コンピューティングで行われている難病(HIV、がん、エボラなど)の新薬開発のための計算だったらどうなのだろう?
今の警察庁の言い分だと、明示していないと逮捕されかねない。
それとも警察庁は嫌儲なのか、あるいはこの時期に逮捕に踏み切る何かがあったのだろうか?(北絡みだったりして ww。興味は尽きないねぇ)

でググっていたら良い記事があったので貼っとく
http://takagi-hiromitsu.jp/diary/20180610.html

>マイニングツールの設置を閲覧者に明示せずに設置
誰か多大な迷惑を被るならともかく、PCの動作が重くなるだけなら勝手に設置してどうぞ、ですがね。私的にはCPU負荷が最大でも10%くらいにして貰えると嬉しいやも。

明示するなら以下な条件が良いやも。

1.広告を表示するか、仮想通貨の採掘に協力するか選んで下さい
2.CPU負荷を10%以下に制限するなら閲覧のみ
3.CPU負荷を11~30%に設定するなら閲覧とコメント可
4.CPU負荷を最大50%に設定するなら、あなたがサイト閲覧中に採掘して得た全仮想通貨の0.1%を差し上げます

>PC全データ削除の上返還
これ勝手に削除されたことに対して損害賠償請求できないのですかね。私のPC内データ、バックアップ含め全削除されたら、2億くらいは請求したいのですけれど。

>ユニセフもアウト(迫真)
こちらはデカデカと「マイニングしますよ」と明示しているからOKでは。


明示することと同意を得ることは同義ではありませんし、明示が条件なら「このサイトについて」とか、だいたい読まないだろう自己紹介やサイト紹介ページに、一文だけ書いておけばOKなのでしょうかね。

>神奈川県警
30年ぐらい昔の話ですが、当時バイク雑誌を買って読んでおり、その中で神奈川県警のとんでも話が記事になっていた記憶があります。
内容は全く覚えてませんが、昔からイメージは悪かったと思います。
神奈川県に在住した事はないので、本当のところどうなのかというのは分かりませんが。

かねてからゲストブックでも書いている通り、明示せずにマイニングさせるのは気持ちの良いものではありませんが、警察が摘発するのは根拠がなく、やりすぎというのが私の意見ですw
私からしたら明示せずにコインマイナーを設置するのが違法ならば、明示せずに個人情報を読み取るのも違法であるべきで、FBやGoogleは一発逮捕しないと筋が通らないと思いますw
このような考えもあるので、別途広告の代わりにマイニングさせるのはどう思いますか?といったアンケートをすればいいと思いますw

コインマイナーをサイトに設置して犯罪になる条件とは? 警察庁と神奈川県警に問い合わせてみた - INTERNET Watch
https://internet.watch.impress.co.jp/docs/news/1127895.html
一応参考記事w

>・有罪ならJavascriptがウィルス
これはいろんな方が突っ込まれているけど、ここが飛躍しすぎていると思うんです。
現場の人が頭悪いこと言ってたのは置いておいて、今のところ問題になっているのは「明示せずに設置してあるcoinhive」なわけで、それとただのJavaScriptを同列に語ることに違和感があります。

>「包丁(Coinhive)は悪くない」
こちらも(現場の頭悪い人が言っていることは置いておいて)包丁(Coinhive)そのものを悪いと言っているようには見えません。
「明示されていないCoinhive」という言い方しか見当たりませんが実際にCoinhiveそのものが悪いと言っているでしょうか?

包丁で例えるなら、包丁の扱いを間違えて人を傷つけてしまったら逮捕された、包丁は悪くない!って言っているように見えます。
扱いを間違えた(設置を明示しなかった)ことの方が問題なのではと。
明示なので同意などを得る必要はなく、広告であればおいてあることが見えるわけです。

念のため、今回の警察の動きに賛同しているわけではないのであしからず。

渦中のこの人物のブログにある「彼らが最初共産主義者を攻撃した時」の文章は、
私が遅まきながら政治に少し関心を持った10年程前の総選挙の頃に初めて目にし、また良く目にしました。その当時、強い危機感を持ったのを覚えてます。
ただ、今回の件では少し考え過ぎと思わざるを得ません。
「明示的に」という文言があるのですから。
これが無くなったら、何かおかしい、と注意する必要があるとは思います。

>・オウム真理教事件に対し破防法を適用するか?
>・二次元のロリコン漫画を規制するべきか?
>・漫画村のような海賊は一般庶民のアクセスを遮断するべきか?
・オウム真理教は犯罪組織だけれども、信教の自由に反するため破防法を適用すべきではない。
・個人的には二次元のロリコン漫画は好きではないけれど、表現の自由に反するため規制すべきではない。
・海賊版サイトは悪だけれども、あらゆる著作権侵害サイトを遮断できる恐れがあるのでアクセス遮断をすべきではない。
って考えても矛盾はないですよね?w

>ポンコツ警察はJSONが何なのか熟知しなければならないはず
確かに警察は知らずに捜査をしていると思いますねw

>「包丁(Coinhive)は悪くない」
確かに今の例ではCoinhive自体は悪くないですよw
使い方によってはマナー違反になるだけでw
上記の例えではオウム真理教や海賊版サイトは悪くないとは流石に言えないと思いますw

訂正
×確かに今の例ではCoinhive自体は悪くないですよw
○確かにCoinhive自体は悪くないですよw

追記
私からすれば寄付ボタンで寄付できたほうがわかりやすいとも思いますがw
マナーとか言ってしまいましたが、その使い方やマナーについては合意が得られていないとは思いますw

度々失礼しますw

サイトををクラッキングされてコインマイナーを設置されてしまった場合でも、無能警察は、サイトをクラッキングするウィルスの作成者ではなく、サイト管理者を逮捕しそうですねw
その場合でもコインマイナーは悪くないですw

>Javascriptを貼っただけで犯罪者扱いになる可能性を認めることになる
また、気づいてしまったんですが、JavaScriptではなく、「サイズの大きい画像を貼る」ことや、昔のサイトによくあった「MIDIが勝手に鳴る」のも逮捕される可能性があるんじゃないんですか?w

>仮想通貨マイニング(Coinhive)で家宅捜索を受けた人の話が胸糞案件だった→異議申し立ての裁判を応援する声が続々 - Togetter
このまとめは前から読んでいましたが、「明示せずにCoinhiveを設置したのは悪くないが、逮捕すべきではない。」という意見もありましたよw

>今のところ問題になっているのは「明示せずに設置してあるcoinhive」
明示していないのがアウトならば、明示せずに個人情報を収集しているGoogleやFB、それらを設置しているサイト管理者もアウトになりますがどうなんでしょう?w

Googleは情報収集していることをプライバシーポリシーなどで明示しています。
Facebookは私は利用していないながら、軽く見てみるとこちらもプライバシーポリシーには書いてあるように見えますね。

アクセス解析などについてはブラウザが仕様上やり取りするレベルの情報を収集することになるでしょうが、こちらも仕様上やり取りするものですから明示されていないとか同意していないとは言い難いと思います。

何度も書いておりますが、広告は見えるしサイトコンテンツの中身として考えられます。
明示されていないcoinhiveは見えないしサイトコンテンツとして考えられません。
ここの差は大きいと思うのです。

なのでこの件に関してはcoinhiveを擁護するにしても明示するように徹底するしかないでしょう。
JavaScriptや広告とは別種なのに無理やり紐付けて巻き込まれに行く意味が分かりません。
それともJavaScriptや広告と無理やり紐付けてそこまでしてcoinhiveを擁護したいのでしょうか?

肝心の返信内容が抜けていたので追記。

見える広告(音・動画含む)は気づいて何かしらできます。
ここのサイトのように別ページでも探しに行ったりできます。
しかし明示されていないcoinhiveは気づけないので、別のページに書くだけでは不十分だと判断されるでしょう。

>音は出なくても自動で動画再生する広告も勝手に他人のパソコンを使っている。
それに加えて利用者のギガを減らしていますねw
昔よくあったJavaアプレットも昔の非力なパソコンの昔のJavaで動かすとフリーズしていましたがそれも勝手に他人のパソコンに負荷をかけていることになると思いますw

>>①JavaScriptで記述し、②アクセスした本人の知らない間に自動起動し、③アクセスした人のPC上のブラウザの演算負荷を流用し、④金儲けをする ことがなぜ悪いのか? Web広告とマイニングの差はあるのか?
記事で紹介されているツイートの通りだと思いますw 明示せずに他人のCPUに負荷をかけ利益を得るって点では広告と同じにか思えませんw

仮想通貨マイニングの摘発、「法律で規制する問題ではない」と田中弁護士が批判 - 弁護士ドットコム
https://www.bengo4.com/c_1009/c_19/n_8056/
このページがわかりやすいですw

【Coinhive】ブラウザで強制マイニング?マイニングスクリプトの無効化の方法 - 井を出た蛙の生中継
https://www.ino-kawa.com/?p=855
一応Coinhiveに反対する意見も載せておきますw

>明示されていないcoinhiveは見えないしサイトコンテンツとして考えられません
それなら裏で個人情報を解析・収集するスクリプトもサイトコンテンツとしては考えられないと思います

>>・有罪ならJavascriptがウィルス
>これはいろんな方が突っ込まれているけど、ここが飛躍しすぎている

今回のはcoinhiveの明示がしてあるか否かが問題なのではなく、coinhive設置とその公開が「不正指令電磁的記録供用罪」になるのはおかしいって議論しているんだと思いますよ。

もともと、不正指令電磁的記録ってマルウェアとかウィルスを想定していたはず。
なのでcoinhiveはマルウェアに相当するのか、どこまでの処理を為すものが不正指令電磁的記録なのかって定義が曖昧な訳で。

このまま行くと警察の思惑次第でJavascriptはウィルスであるというお話になっちゃうので、明確な線引が必要でしょうというお話だと私は受け取っています。

https://ja.wikibooks.org/wiki/%E5%88%91%E6%B3%95%E7%AC%AC168%E6%9D%A1%E3%81%AE2
(上記の記述が正しいとして)「正当な理由がないのに」とは何を指すのか明確では無い気がします。

拡大解釈されちゃうと相当にマズイ。てか、今回のは拡大解釈されてるとしか思えない。

でも逮捕者が増えてるとすると、警察は何を潰しにかかってるのかとても気になってくる。なんかの別件逮捕じゃないのか?とかね。
それともやはり神奈川県警が情弱なんだろうか。

ちなみに供用未遂でも罰せられるので、coinhiveの設置も今の所要注意(てか6/19の記事は大丈夫なのか少し心配になる ww)

>Coinhive擁護したくなるほど今回の事件は冤罪すぎると思う人が多い理由を考えないのだろうか。

今回の事件について擁護したくなるのはわかりますし、警察のやったこと(警告もせずにいきなり逮捕とか、PCのデータ削除とか、脅迫じみた尋問etc...)はどう考えても酷いです。
なので警察を擁護するつもりは全くありません。

しかしその反論の手段としてJavaScriptや広告と紐付けるのが理解できないと言っているのです。
事件に反発するのはいいですが、手段は考えましょうと。

また免罪かどうかというのは正直微妙です。
どちらかというと道路交通法を知らずに自転車で歩道を走っていたら道路交通法違反で逮捕された、なんで!という感じにしか見えません。

技術的にはほぼ同等のもので動いていることはわかりますが(なにせcoinhiveの仕組み事態はそんなに難しくはないですから)、サイトコンテンツのために動く一般的なJavaScriptと、サイトコンテンツに関係なく動くcoinhiveを同列に語るのが理解できないと言っているのです。

もし同じ技術だからということだけで問題になるのならJavaScriptの類をNGにするしか対策ができなくなってしまい、それこそ技術全体の発展を阻害してしまいます。
あるいはJavaScriptで動いているマルウェアやハッキングなどを含めてすべて許可せよ、と主張することになってしまいます。

なのでその技術を用いて行われていることが客観的にどうとらえられるか、ということを主眼に考えないといけないと言っているのです。

広告はあくまでもサイトの運営者が閲覧者に見せて、クリックしてもらうために置いてあります。
なのでどれだけ閲覧者に不快感を与えるものであってもそれはサイトコンテンツだと言えてしまいます。

しかし閲覧者の同意なく動くcoinhiveをサイトコンテンツだとどれだけの人間が認めるでしょうか?

なので広告と明示されずに動くcoinhiveが同じだというのなら明示されずに動くcoinhiveも広告と同じサイトコンテンツだと認められる、ということを言わないといけません。
(あるいは広告もサイトコンテンツでない、と言うのでも構いません。
 もしそれが認められるなら広告も排除対象になるかもしれませんね)
逆にユニセフのような明示されて動いているcoinhiveはサイトコンテンツだという主張ができるわけです。

>「当サイトはアクセス者のPCのCPUパワーで仮想通貨のマイニングをしています。嫌ならこちらのページから停止することもできます」と書けば良いということになりますな。

これがそのサイトに通常想定されうる手段で訪問したときに閲覧者にわかるようになっていれば明示されていると言えるので良いでしょうね。
(どうすればわかるようになっているか、というのは議論の余地があるでしょうが、記事より上にわかるように書いてあればいいんじゃないですかね)

しかしこのサイトのようにプライバシーポリシーに同意することなく閲覧できる状態であればかなりグレーになってしまうでしょうね。
それこそ裁判など法的な判断が必要になるため私には判断できませんが、そういう危ない橋を渡る意味はないでしょうとは言います。

>それなら裏で個人情報を解析・収集するスクリプトもサイトコンテンツとしては考えられないと思います

もし訪問者の同意がなく個人情報を解析・収集しているサイトがあるならウイルス法とかじゃなく個人情報保護法に引っかかるのではないかと思ってしまいますが。
ぜひ警察などに対応してもらいましょう。


こちらさわちよさんへの返信になりますがまとめてしまいます。

>今回のはcoinhiveの明示がしてあるか否かが問題なのではなく、coinhive設置とその公開が「不正指令電磁的記録供用罪」になるのはおかしいって議論しているんだと思いますよ。

警察庁のツイートくらいしかちゃんとした資料がないのでそちらから引用しますが、警察庁は以下の2点の主張をしています。

>マイニングツールの設置を閲覧者に明示せずに設置した場合、犯罪になる可能性があります。

こちらでは閲覧者に明示せずに設置した場合、と書いてあるので、coinhiveの設置そのものを問題にしているとは読めません。

>また、マイニングツールが設置されたウェブサイトにアクセスすると、パソコンの動作が遅くなることがあります。ご注意ください。

こちらはただの注意文であり、マイニングツール(coinhive)の設置を直接犯罪とは言っていません。

返信ありがとうございます。
私の書き方があまり明確でなくて申し訳ないと思っていますが、議論したかった観点は少し違います。
つらつらと意見を述べますね。

>犯罪になる可能性
推定無罪なので、裁判で判決が下るまでは「犯罪になる『可能性』」というツイートは正しい表現だと思います(公式アカをフォローしてるんでTLに流れてきた時はものすごく違和感ありましたけどね)

ただし、「マイニングツールの設置を閲覧者に明示せずに設置」がどのような犯罪になるのか今の所、明瞭では無いわけです。

現在、存在する情報は、逮捕者が出ているらしいっていう事と、警察庁から注意喚起のツイートがあったぐらいで、あとはマスコミの記事とモロさんのブログ?
今の所「不正指令電磁的記録供用罪」らしいと情報が出回っているわけです。

で、「マイニングツールの設置を閲覧者に明示せずに設置」が「不正指令電磁的記録供用罪」になりうるのか、警察および検察がその根拠としたのは何かを議論しようとしているつもりでした(要するに論点ですね)

で、刑法第168条の2を拡大解釈して適用しようとしているのでは無いかと疑問に思っているわけです。

しかも略式手続で処分を確定(言葉は悪いですが前科がついちゃうわけです)しようとしたとの事ですので、さらに疑問が湧くわけです。

http://tetsutalow.hateblo.jp/entry/2017/12/25/084259
のブログ記事からそのまま引用しちゃいますが
「Webサイト内のJavaScriptでも、サイト訪問者の想像外にあるような動作をさせ何らかの被害を与えることがあれば、ウイルス供用罪に問われる(かもしれない)」
という事なわけです。

で、刑法の文言ではマイニングツールについて何も定義していません。
(新しい技術なんで想定していなかったんでしょうけど)

では「設置を明示」すれば「不正指令電磁的記録供用罪」は成立しないのかって話になるんですが、今回私は明示しなくても犯罪にはならない(今の刑法の文言ではできない)んじゃないのって意見を述べています。

今回の逮捕そのものが警察のやりすぎに見えるんですよ。でこのまま行くとマイニングツールはウィルスと認められるのを危惧しています。さらに拡大解釈されて適用されればJavascriptの処理も難癖付けられるんじゃないの?って危惧ですね。
だから線引して欲しいと言っています。

まぁ、正式裁判が行われるようですので裁判結果待ちなんですけれども(何年かかることやら)

>「Webサイト内のJavaScriptでも、サイト訪問者の想像外にあるような動作をさせ何らかの被害を与えることがあれば、ウイルス供用罪に問われる(かもしれない)」

この危惧に関して以前からあることはわかります。
なのでサイトを運営する側も、法律を運用する側も本来もっと慎重に動かないといけなかったのでしょう。

しかし「マイニングツールの設置を閲覧者に明示せずに設置」ということが実際にクリプトジャッキングと呼ばれる攻撃で行われてしまっているのが現状です。
そこで(そういう問題が起きていることは知らなかったのでしょうけど)客観的に見ればそれと見かけ上全く同じことをしていたのが今回捕まった人たちだと見えます。

クリプトジャッキングとcoinhiveの正常な利用をどこでハードルを引くかと考えると、閲覧者に明示するかどうか、しかないでしょう。
実際にcoinhiveを設置していて捕まった人とそうでない人がいて、そこの差は何だろうと考えても「閲覧者に明示していたかどうか」くらいしかないわけです。
(まあ捕まった人の証言が1つしかないのであれですけどね)
他にも多数coinhiveの設置を実験していた人はいるわけで、他の人は大体通常設定で閲覧者にわかるように設置しているわけです。
そしてその人たちが捕まった、という証言は今のところ見つかりません。

そこから考えると「coinhiveの設置」を問題にしているのか、「閲覧者に明示していたか」を問題にしているのか、でいえば後者でしょうと。
ここが推測だと言われれば確かにそうですが、その現状で無理やり前者だと決めつけるのも推測でしょう
そしててそちらの方向に議論を持って行っていったい誰が得をするのか、おそらく誰も得をしない。
自ら泥沼に突っ込んでいっているようにしか見えません。

「coinhiveの設置」の問題だとすれば確かに「刑法第168条の2を拡大解釈して適用」になるかもしれません。
しかし「閲覧者に明示していたか」が問題であればマルウェアを排除するために適用しようとしているだけなのでは、と。
ならば閲覧者に明示して設置していたにも関わらず捕まった、という人が出てこない限り前者の前提で議論することは警察にとってもネットワーク利用者全体にとっても利益がないのではないかと思います。
(あえて言えばクリプトジャッキングをしたい人には利益はあるかもですね)

>そちらの方向に議論を持って行って
>無理やり前者だと決めつけるのも推測

私の感覚はもう少し違っていて
(新しい言葉なので間違った表現してるかも)

1.悪意のあるクリプトジャッキング
2.悪意のないクリプトジャッキング
3.明示されたクリプトジャッキング
4.同意を得るクリプトジャッキング

の4種類がありそうだと思っていて、1の場合はウイルスやマルウェア判断されるんだろうなと考えています。
それで今回の件は2に該当し犯罪にはならない(あるいは犯罪とするには刑法に不備がある)と考えているんですが、警察は1と2が犯罪であると捉えているようです。

もっと早くから自分の意見を上記のように整理して記述し、煽り系の文言は控えるべきでしたね。(反省です。長々と記述したから整理ができたのかもですが)


もしかすると2の場合は過失ですかね。過失にもレベルがあるようですが、さすがにもう少し勉強しないと議論が難しい。ドラマで出てくる未必の故意なんてググっても良くわからん。
(過失の話をすると、ウイルスの踏み台にされて拡散した場合は過失に相当するのか、別の疑問が湧いてきますが、それは別の議論になるのでスレチですね)

いずれにせよ、この件に関してはしばらくウォッチしたいなと。ただ、Winnyの時も時間がかかったよなぁと考えると何年も覚えていられるか、ちと疑問
(ここの隔離部屋向けの技術開発ネタ集めの方が楽しいので。スレチどころかアッチでヤレ!ネタですがトレンドはプラズマ ww)

>で、「マイニングツールの設置を閲覧者に明示せずに設置」が「不正指令電磁的記録供用罪」になりうるのか、警察および検察がその根拠としたのは何かを議論しようとしているつもりでした(要するに論点ですね)

これについてちゃんと書いていなかったので(申し訳ない)、私がどう考えているかを書いておきます。
私は不正指令電磁的記録供用罪になってしまうのではないかと考えています。
(あくまでも私の考えなので裁判結果を待ちたいところです)

ブラウザでサイトを表示する、ということはサイトコンテンツをみたい、と閲覧者が要求しているということです。
なのでサイトコンテンツを受信後、それを表示するためにブラウザがPCリソースを消費することには閲覧者は同意していると考えられます。
そのため大半の処理が自動化されていても、本来の目的=サイトコンテンツを閲覧すること、から逸脱していなければ閲覧者の同意は得られていると考えるのが妥当でしょう。

そこでマイニングツールについてはどうか、です。
もし閲覧者にわかるように明示されていたなら閲覧者はマイニングツールをサイトコンテンツとして認識することができます。
しかし明示されていなければ閲覧者はマイニングツールを認識することができません。
それはすなわちサイトコンテンツとしても認識することができていない、ということになります。
サイトコンテンツとして認識していない以上、マイニングツールが閲覧者のPCリソースを消費して実行されることは不正な指令だと考えられます。

Web広告の場合は、必要以上に重かったり通信量を消費してしまったとしても、閲覧者にWeb広告=サイトコンテンツを表示するためと考えることはできてしまいます。
もちろん内容が悪質であれば別途対応されるべきでしょうが、少なくとも今回の話については悪質な広告は全く別の話なのでやめておきます。


なので何をもって明示したことになるかは早急に基準が出てほしいですね。
ただ、今回の捕まった人のブログの内容からすると、設置当初に設置したことを報告する記事を出していたようですが、それだけではダメだったようです。
これからヒツジ先輩への返信で書いたように「そのサイトに通常想定されうる手段で訪問したときに閲覧者にわかるようになっているか」ということだろうと考えています。

ちなみにこの判断もマイニングツールが一般化しているかどうか、というのも影響するため時世が変われば判断が覆る可能性はあります。
もし一般化しているならサイトを訪問すること=マイニングツールが動くこと、を想定できると考えられるようになるためです。
逆にいえば広告はかなり一般化していることからもサイトコンテンツの一部として認識されていると判断されるでしょう。


>さらに拡大解釈されて適用されればJavascriptの処理も難癖付けられるんじゃないの?って危惧ですね。

私の考えは逆で、今回の件がJavascriptそのものをおかしいということに繋がっている、と主張することがJavascriptへの難癖につながるのではないかと懸念しています。
ただの「明示されていないマイニングツール」に対する案件を「Javascriptそのもの」に対する案件にしようと主張しているように見えています。

>1.悪意のあるクリプトジャッキング
>2.悪意のないクリプトジャッキング
>3.明示されたクリプトジャッキング
>4.同意を得るクリプトジャッキング

3と4は正常に運用されているマイニングツールなのでクリプトジャッキングとは言わないでしょう。
1と2の差ですが、何をもって悪意のある、なしを判断するのでしょうか?
またもし悪意がなかったとしても、犯罪行為を悪意なく行えば許されるということでしょうか?
(このあたりの法律がどうなっているのか専門家ではないので詳しくはわかりませんが)過失であっても犯罪は犯罪ではないでしょうか。

>もっと早くから自分の意見を上記のように整理して記述し、煽り系の文言は控えるべきでしたね。(反省です。長々と記述したから整理ができたのかもですが)

私も長々と分かりづらい書き方をしてしまったとは反省はしています。
読めば微妙に私の言い方が変わってきているのもわかるかもですが、ここでやり取りをさせてもらったことで理解が深まったと思っています。
皆様お付き合いいただきありがとうございます。

ようやく時間がとれたのでさわちよさんが貼り付けてくれたとこ読んできました。
もう老眼かかってて、この長文読むの目が拒否wしましたけどwwww

私の個人的な嫌悪感とかも言及(そんなくだらない連中を利するのはごめんだという感情)があったので「そうそうそれなのよ~」と思いつつ、何が起こってたのかちょっと理解できたような。警察庁のツイート読んでても嫌悪感ありな人いるので、これからの技術だからそれを上手に払しょくしていく必要はあるだろうし、そのうち広告見ても「アフィ厨○ね」と騒ぐ人少なくなっていったように受け入れられるとは思う。
ただやっぱり断りというかお願いしてほしい。それさえあれば、協力できるのに。広告は「目に見える」ので「運営大変なんだろうな」って許容できるのに、わからない形でやられちゃうのは何だかやだ。
ただしこれは個人的にそう思ったという感情の話なんで、そう思われたからすぐ犯罪かっていうと違うと思ってますし、「coinhive設置が犯罪」はまだ確定してませんし。

違法性とかはもう裁判とかでがっつりやってもらって新しい技術をどう扱うかを議論してほしいし、これからもどんどん出てくるだろうからそこら辺はちゃんとやって欲しいデスし(これ、合法ドラッグが後から違法に制定されたとか、自炊業者がグレーから黒になった経緯もあるのでcoinhive設置はアウトっていうの後から決まるかもしれないけど、少なくとも今は犯罪じゃないって思ってます)新しい技術が受け入れられるための丁寧な説明は必要でしょう。一般人「coinhive怖い」って印象操作された感も否めないし(いやそもそも、coinhiveに興味ないか)

警察は。うん。
というか、これ司法の現場もそうだけど。全然進化してないんだな~としみじみ。
相当に「新しい事アレルギー」 いや私もあるけど。もうついていけないわ~ってあるしw
多分「行動分析」とか「BAU」なんか知らないんじゃないかなって思うくらいw サイバー犯罪とか何それおいしいの状態かもしれない。現場の人、パソコン使えないかもよ~(白目)

あと、coinhiveと著作権法からめて、全然別のところに向かっていってる気配がする、しかもわざとって思い始めてしまったわ~。(いや警察はいろいろわかってないような感じがする)ゲストブックあたりで「北朝鮮が~」な記述あったような気がするけど、そこから妄想がふくらむふくらむwww

連投すいません。

記事内にあった「裁判所の令状」
これ、裁判所も提出された書類見て令状発行するはずなんだけど、おそらく中身はわかってなくて、「専門家の意見」で「犯罪性が高い」とかなんとかあったんじゃなかろうかと邪推もはかどってます。
裁判所はしょせん「権威主義者」だそうで。

「専門家の意見」=「トレンドマイクロ」

JavaScript実行時、「閲覧者の了解をいちいち得る」ページ登場 「Coinhiveより嫌」「悪夢」と話題 - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1806/20/news082.html
Coinhiveが問題になったのは、「許可なしに他人のPCに負担をかけて利益を得ていた」からだとしても、広告も利益を得ているのでやっぱり違いがわかりませんw

では無知な私に次の二点を教えてください。

1つ目。
「明示されていないマイニングツールは閲覧者に実行する意思があるとはいえない」
現状は上記のような論理で攻められていると考えられますがこれにどうやって反論するのでしょうか。

2つ目。
なぜ「閲覧者に明示すること」が何度も言及されているのでしょうか。

>単なる1つのスクリプトに対し迷惑だとか仰るのが怖い

仮想通貨マイニングの摘発、「法律で規制する問題ではない」と田中弁護士が批判 - 弁護士ドットコム
https://www.bengo4.com/c_1009/c_19/n_8056/
>サイト管理者が、コインハイブの設置を告知せずに他人のCPUを使用していたという点は、ネット上のエチケットに反しています。しかし、このような道義的責任と、法的責任とは分けて考えるべきでしょう。

高木浩光@自宅の日記 - 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」
http://takagi-hiromitsu.jp/diary/20180610.html
>ここで私の感情を述べると、実は私も、Coinhiveが爆発的に普及した世の中は来ないで欲しいと思っている。どこのサイトに行ってもCoinhiveが設置され、新聞を読みに行っても、テレビニュースを見に行っても、Coinhiveによって自分のCPUが使われるという世の中が来てしまうのは、嫌だ。
>この感情には、そもそも暗号通貨自体が馬鹿げたもので、猫も杓子も何ちゃらコインと熱を上げているのは実に馬鹿馬鹿しいと、そういう偏見が作用している面もあるかもしれない。そんなくだらない連中を利するのはごめんだという感情が私にもないわけではない。

高木氏の日記でもCoinhiveが普及してほしくないと言っていますし、弁護士ドットコムでもネット上のエチケットに反していると言っていますが、あくまでもそれは従であるべきで、警察批判が主であるべきでしょうw
ロリコン漫画と同じく、自分が嫌な思いをしているからって理由で警察がいちいち逮捕していたら司法が声の大きい連中で左右されてしまうでしょうw

>無茶振りするネタサイト
WP-Kyoto
https://wp-kyoto.net/
日本からアクセスできないサイトが登場しましたw
Tor Browserでは普通にアクセスできますw

GDPR(EU一般データ保護規則)で抑えておくべきポイント|マルケト
https://jp.marketo.com/content/gdpr.html
>個人データの収集および利用目的について、有効な同意が明示的に行われなければならない
最近EUでGDPRが施行されたんですが、日本でもCNETや下記のZDNetや産経などが画面下部にCookieの利用について同意を求めるようになりましたw

CNET Japan
https://japan.cnet.com/

産経ニュース
https://www.sankei.com/

同じように画面下部に「このサイトでは、JavaScriptを利用し、あなたのパソコンに負荷をかける可能性があります。このまま閲覧を継続するとJavaScriptの利用に同意したものとみなします。JavaScriptを無効にする方法はこちらのページをご覧下さい。」って書けばいいんでしょうかねw
どのように明示すればいいのか警察が具体的に言及していないのも問題ですねw
警察の説明では、明示していないマイニングだけがダメなのか、明示すればマイニングはいいのか、他のJavaScriptの実行はダメなのかもわかりませんしw

EUと日本の警察の違いは、EUは事前に予告していたが、日本の警察は予告せずに逮捕したってことでしょうねw
それともJavaScriptを利用するにはユーザーに明示的に同意を得なければいけないって法律を作るのでしょうか?w

コインマイナーに10県警が注意喚起、8県警が「違法性」にも言及 - ZDNet Japan
https://japan.zdnet.com/article/35121211/
田舎県警ばかりw
神奈川県警は警告の書式がしょぼすぎ吹いたw

仮想通貨のマイニングをブロック ~「IObit Malware Fighter 6.0」日本語版が公開 - 窓の杜
https://forest.watch.impress.co.jp/docs/news/1128835.html
よく読むと仮想通貨のマイニングは広告ブロックと同じ分類のようですねw
広告もマイニングも使い方によって有効な収益手段にもなりますし、閲覧者にとって迷惑にもなると思いますw

それについては2度返信しています。
後半の方をもう一度そのまま引用します。


---------- 引用ここから ----------
>「当サイトはアクセス者のPCのCPUパワーで仮想通貨のマイニングをしています。嫌ならこちらのページから停止することもできます」と書けば良いということになりますな。

これがそのサイトに通常想定されうる手段で訪問したときに閲覧者にわかるようになっていれば明示されていると言えるので良いでしょうね。
(どうすればわかるようになっているか、というのは議論の余地があるでしょうが、記事より上にわかるように書いてあればいいんじゃないですかね)

しかしこのサイトのようにプライバシーポリシーに同意することなく閲覧できる状態であればかなりグレーになってしまうでしょうね。
それこそ裁判など法的な判断が必要になるため私には判断できませんが、そういう危ない橋を渡る意味はないでしょうとは言います。
---------- 引用ここまで ----------

これがわかりづらかったなら申し訳ないですが、このサイトのプライバシーポリシーに書いてあるだけなら私は黒だと思いますね。
さらにその後に書かれていた前ページの左上あたりに書けば、のケースであれば白だろうと思います。

コメントする ※要ユーザ登録&ログイン

BTOパソコンメーカー比較

パソコン工房

高性能: ★★★★★ 保証: ★★

コスパ: ★★★★★ 安定: ★★★

初心者: ★★★★

性能とパーツの相場がある程度わかる人なら標準構成が多いのでコスパ重視で選びやすい。同じに見える同じ価格でも仕様の違いがどうなのか判る人には最適。

DELL

高性能: ★★★☆☆ 保証: ★★

コスパ: ★★☆☆☆ 安定: ☆☆

初心者: ☆☆☆☆

10年以上前まではDELL=初心者向けの安いパソコン、それはもう通用しておりません。クーポン適用後が適正価格だと見抜けるパソコン詳しい人向け、または大人買いで割安になる法人向け。

日本HP

高性能: ★★★☆☆ 保証: ★★

コスパ: ★★★☆☆ 安定: ★★

初心者: ★★★☆☆

コスパと性能以外にも見た目も重視したいならHPのノートも選択肢としてアリ。自社製造状態なのでBTO=ダサい印象は払拭されるかと。デスクトップは法人用、ゲーミングは海外向き。

ツクモ

高性能: ★★★★★ 保証: ☆☆

コスパ: ★★★★ 安定: ☆☆

初心者: ☆☆☆☆

昔のマニアックな感は無くなり家電通販のような普通のパソコン屋に。機種が少なく特徴的な少数精鋭状態なので選べる人を選ぶ。ヤマダ電機の一部、または自作PCのパーツ屋さん。

フロンティア

高性能: ★★★☆☆ 保証: ☆☆☆

コスパ: ★★★★ 安定: ☆☆☆

初心者: ★★★☆☆

フロンティア神代の解散後、現所長のパワハラがひどいとタレコミが複数あり、私から内情を運営会社へ伝えると逆ギレされて私を訴えるぞと謎すぎる返しがあり困惑中。

サイコム

高性能: ★★★★★ 保証: ★★★

コスパ: ★★★☆☆ 安定: ★★★

初心者: ☆☆☆☆☆

PC自作したくない中~上級者向け、昔ながらの2chおっさん御用達な鉄板メーカー。動かない構成でも購入できるので初心者にはおすすめ不能。量産系BTOのようにコスパ悪くならないのでサイコムだけは自由なカスタマイズを激しくおすすめ。


※ドスパラはパーツの偽装疑いを誤魔化したり取引先を勝手に切る信頼性暴落した事件があり掲載中止(2020.11.26)

※マウスコンピューターは高いぞと書きまくったからか遠回しにリンク削除しろと言って来たので削除(2021.03.28)

勝手に評価シリーズ

結果として宣伝になっていますが依頼されたわけでは無く、依頼されてもやりません。

データ復旧のIUECを勝手に評価
あなたの街の~を勝手に評価
ESETセキュリティを勝手に評価

カテゴリと更新通知

プロフィール

ヒツジ先輩

書いてる人:

BTOパソコンの元修理担当。ハードウェアに超詳しいワケではありませんが、どうしたら故障するのか何となく解るので壊れにくいパソコンを紹介します。